Parler, ktorý to vytrháva z Twitteru slúžil ako jeden z hlavných organizačných nástrojov pre fanatikov Donalda Trumpa ktorý zaútočil na americký kapitol 6. januára, bol väčšinou offline už viac ako týždeň. Ale aj v pozastavenej animácii preferovaný online domov pre QAnon, Proud Boys a ďalšie prvky americkej krajnej pravice stále spôsobuje problémy.
Rozhodnutia spoločností Amazon, Apple a Google ukončiť hosťovanie stránok a zakázať používateľom mobilných zariadení sťahovať aplikáciu vyvolali výkriky cenzúry Big Tech. Prvý pozmeňujúci a doplňujúci návrh a politika v oblasti regulácie internetu okrem toho, ako spoločnosť Parler preniesla údaje na svoje dvere, vyvoláva vážne otázky týkajúce sa kybernetickej bezpečnosti a tiež obavy, či v budúcnosti nedôjde k porušeniu ochrany údajov inými hráčmi na internete.
Aj keď je to nemožné overiť bez nahliadnutia pod Parlerovu kapotu - čo je teraz úloha nemožná, pretože webová stránka je offline - prevláda naratívnosť, že bezpečnostná chyba (alebo chyby) Parlera umožnila hackerovi s bielym klobúkom čoskoro stiahnuť a archivovať všetky údaje používateľa Parlera predtým, ako spoločnosť Amazon Web Services vytiahla zástrčku hostenia stránky. Medzi údaje poskytované verejnosti (a orgánom činným v trestnom konaní) na prístup patrili v niektorých prípadoch potenciálne inkriminované údaje o polohe.
Hovor spoliehal sa na Worpress , najpoužívanejší systém na správu obsahu na svete. To viedlo k špekuláciám, že WordPress bol súčasťou chyby a že ktokoľvek iný používajúci WordPress je v ohrození. Avšak podľa všeobecného konsenzu odborníkov na kybernetickú bezpečnosť , vrátane niekoľkých osôb kontaktovaných pre tento článok, k narušeniu údajov spoločnosti Parler nedošlo iba preto, že spoločnosť Parler použila WordPress. Namiesto toho došlo k úniku používateľských údajov spoločnosti Parler, pretože generálny riaditeľ John Matze a architekti webu zanechali veľké chyby v rozhraní API spoločnosti Parler, čo je prepojenie medzi front-endom spoločnosti Parler a jeho používateľskými údajmi.
Pozri tiež: Elon Musk viní Facebook a Mark Zuckerberg z Capitol Riot
Prevláda presvedčenie, že Parler bol uponáhľaný a zlý dizajn podporovaný pravicovými investormi, aby sa stal dosť veľkým skôr, ako skutočne vybudovali pevný základ, technologicky povedané, Andrew Zolides , povedal pre Braganca profesor komunikácie na Xavierovej univerzite, ktorý vedie kurzy digitálneho dizajnu. (Medzi investormi spoločnosti Parler sú pravicová miliardárka Rebekah Mercer , ktorí sa snažili zarobiť na pravicovom hneve na Twitteri a Facebooku, aby rozšírili Parlerovo publikum.)
Aj keď má každá webová stránka svoje problémy v oblasti ochrany osobných údajov, zdá sa, že Parler je príliš veľký, príliš rýchly a nemá schopnosti ani technické know-how, ako sa na to skutočne pripraviť, dodal Zolides.
Pri vítanom vývoji pre kohokoľvek, kto sa zaujíma o anonymitu alebo všeobecne o bezpečnosť, sa iné webové stránky môžu vyhnúť pasci Parlera… za predpokladu, že nejde o relatívne nové a malé startupy, ktoré sa snažia konkurovať etablovaným gigantom ako Twitter a Facebook, čo je presne to, čo Parler urobil .
Áno, Parler mohol byť navrhnutý lepšie, ale reálne povedané, toto je ten druh problému, ktorý sa stane, keď súťažíte so vyspelými spoločnosťami, ktoré investovali miliardy a miliardy dolárov do svojich produktov, povedal Joseph Steinberg , bezpečnostný expert a autor Kybernetická bezpečnosť pre figuríny . Budete mať problém navrhnúť všetko, čo chcete, bezpečným spôsobom. 
Google, Apple a Amazon pozastavili aplikáciu Parler pre sociálne siete. Parler sa stal nedostupným v obchodoch App Store, Google Play a Amazon Web Services, údajne sa uvádza nedostatočná kontrola nad príspevkami používateľov, ktorá podporovala násilie, údajne médiá.Foto ilustrácia od Pavla Gonchara / SOPA Images / LightRocket cez Getty Images
Po prvé, metóda údajného hacknutia. Predtým, ako Parlera vyhodili z AWS, používateľ Twitteru s handle @donk_enby prišiel na to, ako sťahovať údaje o používateľovi z webu - to všetko spolu s akýmikoľvek ďalšími veľmi verejnými dôkazmi o tom, že používatelia Parleru porušili Capitol, útočili na dôstojníkov a plánovali ďalšie násilie , bol potenciálne veľmi usvedčujúci, ako informoval Gizmodo .
@donk_enby nakoniec zachytil dáta v hodnote 56 terabajtov: fotografie, videá a textové príspevky, z ktorých mnohé obsahovali niektoré metaúdaje GPS, ktoré 6. januára pozitívne umiestnili používateľov Parleru do Capitolu a okolo neho, a to aj v zabezpečených priestoroch. Podľa federálnych čestných vyhlásení boli aspoň niektoré z týchto údajov - 56 000 gigabajtov - použité na identifikáciu a zadržanie účastníkov nepokojov, neexistuje však žiadny pozitívny dôkaz, že federáli využívali dátovú tranžu @ donk_envy.
Ako to ale bolo urobené? Skoré špekulácie hovorili o tom, že @donk_enby alebo iný hacker mohol ukradnúť prihlasovacie údaje správcu Parler, čo by bol nezákonný čin. Prijatá teória je taká, že, ako Spustenie hlásené a niekoľko bezpečnostných expertov načrtlo, namiesto toho sa proti nemu použilo vlastné API spoločnosti Parler na archiváciu údajov z webu - a to rýchlo.
Návrhári spoločnosti Parler neobmedzili prístup k API vyžadovaním autentifikácie. Používatelia nepotrebovali na prístup k údajom na koncovom serveri konkrétne poverenia. Ostali tak otvorené obrovské zadné dvere.
Väčšina webových stránok oboznámených so základným bezpečnostným protokolom neumožňuje prístup k API bez akejkoľvek formy autentifikácie používateľa, aby sa zabezpečilo, že požiadavka nie je škodlivá. Ako zdôraznil Startup, dve bežné riešenia autentifikácie sú kľúče a tokeny API, ktoré obidve vyžadujú určité platné poverenia, ktoré tiež umožňujú webovým serverom zistiť, kto pristupuje k údajom.
Žiadna požiadavka na autentifikáciu nenechala pootvorené dvere. Navyše sa návrhári spoločnosti Parler neobťažovali pridať druhú vrstvu obrany v spôsobe obmedzenia rýchlosti - to znamená, že namiesto pootvorených dverí alebo ľavých prasknutých dverí boli dvere dokorán otvorené.
Miera obmedzenia maxima, koľko dát môže používateľ získať bez ohľadu na prihlasovacie údaje. Používatelia webu možno videli vo voľnej prírode 429 Príliš veľa chybových správ Vyžiadajte si, čo je znakom toho, že došlo k príliš veľkému počtu klepnutí alebo pokusov o prechod cez dvere. Parler to tiež nemal, čo znamenalo, že akonáhle bol sprístupnený nezabezpečený zadný koniec, @donk_enby bol tiež schopný archivovať Parlerove údaje do 48 hodín. (Kupodivu, ako zdôraznil Startup, Amazon Web Service má základnú možnosť brány firewall, s ktorou sa Parler zrejme neobťažoval.)
Parler nakoniec povolil, aby boli príspevky, o ktorých sa ich používatelia domnievali, že boli odstránené, dostupné aj ľahko dostupné, akonáhle budú v pozadí. Po smrteľných nepokojoch niektorí používatelia Parleru, vedomí si hromady dôkazov dostupných na webe, vyzvali ostatných, aby svoje príspevky od 6. januára odstránili.
Všetky príspevky Parlera dostali poradové čísla, ktoré sa zvýšili o 1. Aj keď tieto príspevky používateľ odstránil, zostali na konci. @donk_enby zjavne potreboval napísať iba veľmi základný skript, ktorý našiel a archivoval každý príspevok, jeden po druhom. A keďže sa Parler neobťažoval odstraňovať geograficky označené údaje z fotografií, videí a príspevkov pred ich nahraním, tieto informácie tam tiež sedeli a čakali na archiváciu.
Je možné, že aj iné webové stránky, ktoré používajú WordPress alebo iný hostingový softvér, môžu mať podobné bezpečnostné chyby, ale tiež nemusia byť dosť neslávne známe, aby sa tieto bezpečnostné chyby stali záujmom vigilante hackerov a boli tak porušené.
Nie je nezvyčajné, že webové stránky majú bezpečnostné chyby, niekedy významné, ktoré zostávajú nepovšimnuté, pretože nie sú dostatočne populárne na to, aby dokázali vykresliť viac ako jednoduché, často automatizované pokusy o ich kompromitáciu, uviedol Erich Kron, bezpečnostný expert s KnowBe4 , popredná firma v oblasti bezpečnostných riešení. Keď sa stránka rýchlo stane populárnou, zvyšuje sa zameranie a zložitosť týchto testov, čo často vedie k odhaleniu zraniteľností.
Jedným z nedávnych príkladov tohto javu, povedal Kron, bol Zoom. Keď pandémia COVID-19 umožnila všetku prácu na diaľku, boli objavené, zneužité a potom rýchlo opravené predtým nezistené chyby zabezpečenia spoločnosti Zoom. Ale s Parlerom, keď dodávatelia zabezpečenia začali kopať svojho niekdajšieho klienta, zostal Parler zraniteľný v čase, keď boli tiež terčom útočníkov, hacktivistov a ďalších, dodal Kron.
Parler ešte nie je celkom mŕtvy. Cez víkend, vrátila sa nejaká verzia Parlera na rovnakých webových serveroch, ktoré hostia aj iné okrajové stránky, ktoré vítajú nenávistné výroky. Od utorňajšieho večera domovská stránka tohto webu je technické ťažkosti cieľová stránka; zakladateľ stránky John Matze povedal Fox News webová stránka plánuje byť plne funkčná do konca mesiaca (aj keď používatelia mobilných telefónov budú pravdepodobne namiesto aplikácie používať webovú verziu). A existujú aj ďalšie domy pre ultrapravicu online - aj keď, ako zdôraznil Zolides, fóra zamerané na slobodu prejavu ako Gab boli iniciatívnejšie s moderovaním obsahu ako Parler.
Možno sa ešte objaví viac podrobností o tom, ako @donk_enby pristupoval k Parlerovým údajom a či bola teória otvorených dverí presne to, čo sa stalo. (A oddelene od otázky kybernetickej bezpečnosti sú otázky etiky; porušenie alebo hackerstvo, údaje používateľa Parlera boli stále odcudzené, ako povedal Steinberg, a lúpež nie je nič, čo by oslavovala.)
Za predpokladu, že Parlerove údaje boli urobené zlým dizajnom, je teraz online príbeh zo 6. januára príbehom opakovaného obviňovania zo seba: demaskovaní výtržníci, ktorí blúdia po americkom Kapitole, veselo a otvorene diskutujú o svojich zmarených ďalších plánoch a zverejňujú usvedčujúce dôkazy na internete. zatiaľ na webovú stránku, ktorá nebola pripravená uchovať tieto dôkazy v anonymite alebo v bezpečí.
